SOCORRO !!! Ransomware RSA4096 eliminado pero archivos cifrados...

oplazais · 12 Marzo 2016, 10:56 AM

Buenos dias a todos, necesito ayuda urgente por favor, ya que tengo documentos muy importantes cifrados por un Malware...

Se me infectó el PC con un Ransomware RSA4096, que he leido que es muy parecido al CryptoDefense, el caso es que me ha convertido todos los archivos a mp3 y los documentos excell y world o pdf salen miles de letras, es decir cifrados....

Le he pasado el Spyhunter y me detecto varios virus y los eliminé, por lo que en principio ya está limpio el PC, pero ahora necesito recuperar los archivos cifrados y me estoy volviendo loco, he probado de todo...

Sabéis si son recuperables y como ???

Un saludo y gracias...

RevolucionVegana · 12 Marzo 2016, 11:10 AM

Cita de: oplazais en 12 Marzo 2016, 10:56 AM
Buenos dias a todos, necesito ayuda urgente por favor, ya que tengo documentos muy importantes cifrados por un Malware...

Se me infectó el PC con un Ransomware RSA4096, que he leido que es muy parecido al CryptoDefense, el caso es que me ha convertido todos los archivos a mp3 y los documentos excell y world o pdf salen miles de letras, es decir cifrados....

Le he pasado el Spyhunter y me detecto varios virus y los eliminé, por lo que en principio ya está limpio el PC, pero ahora necesito recuperar los archivos cifrados y me estoy volviendo loco, he probado de todo...

Sabéis si son recuperables y como ???

Un saludo y gracias...

No me hagas mucho caso, pero creo que si no tienes la key no se puede descifrar, CREO

(O tardaría muchísimo tiempo por fuerza bruta)

Espera a ver si responde engel lex que el entiende bastante

oplazais · 12 Marzo 2016, 11:19 AM

Muchas gracias por la pronta respuesta RevolucionVegana... efectivamente requiere de una clave para descifrarlo, pero debe de haber algún método que genere la llave o algo parecido...

He leido algo sobre utilizar un programa que se llama Python 2.7.11 y PyCryto o algo así y además necesitas un archivo que no se cual es y.... en fin, estoy perdido...

RevolucionVegana · 12 Marzo 2016, 11:27 AM

Cita de: oplazais en 12 Marzo 2016, 11:19 AM
Muchas gracias por la pronta respuesta RevolucionVegana... efectivamente requiere de una clave para descifrarlo, pero debe de haber algún método que genere la llave o algo parecido...

He leido algo sobre utilizar un programa que se llama Python 2.7.11 y PyCryto o algo así y además necesitas un archivo que no se cual es y.... en fin, estoy perdido...

Mira yo la verdad no entiendo mucho de todo esto pero esto es como las contraseñas si son la tipica de 'minombre123' pues por fuerza bruta en cuestión de horas o días la han sacado es como las contraseñas del WiFi dependiendo la complejidad son vulnerables o no, pues esto es igual pero esa key muchísimo más compleja y larga para ponerte un ejemplo:

ZhjqTLW\Tq4K@|Q0U@wr

Según avast: Harían falta 157979364022 años para vulnerar esta contraseña.

gabriel1995 · 12 Marzo 2016, 20:56 PM

por lo que tengo entendido y investigado de este malware si no tienes la key olvidate y aunque la intentaras descifrar necesitarías un ordenador cuántico. Por eso es recomendable tener siempre una o varias copias de seguridad

Poseedor de un lg g3

Zedmix · 13 Marzo 2016, 18:01 PM

Te comento ya que es prácticamente imposible de recuperar sin tener la pareja de la clave RSA, como bien dice el compañero, "imposible" no hay nada, pero la cantidad de tiempo que se tardaría en averiguar la pareja de llaves mediante la cual pusieras abrir ese documento cifrado es tan grande, hablamos de miles de millones de años.

Saludos!

Aún así, te presento el siguiente post que he encontrado en este mismo foro: https://foro.elhacker.net/seguridad/herramientas_gratuitas_para_eliminar_ransomware_y_el_cifrado_de_archivos-t449464.0.html;topicseen

MOD EDIT: No hagas doble post.

r32 · 18 Marzo 2016, 02:56 AM

No comentas el tipo de variante qe se te ha instalado, podrías ponerlo. En ocasiones se ha demostrado que usan cifrados de menor longitud.
Si el cifrado es el corrcto deja los archivos en un disco, quizás en un futuro se puedan descifrar.
@Zedmix te manda a un tema donde hay varias herramientas que quizas te pudiesen servir.
Identifica el tipo de Ransomware que se te ha instalado para orientarnos un poco más.

WHK · 18 Marzo 2016, 13:20 PM

De alguna manera el ransomware te ha cifrado los archivos y para descifrar necesitas una clave, el tema es que para cifrar tambien necesitas el mismo certificado o clave que se necesita para descifrar, asi que podrias averiguar si aun tienes el binario ver como cifra los archivos y como genera la clave de cifrado, con el binario si le haces reversing talves puedas saber como descifrar tus archivos.

Probablemente el archivo que te infectó sea solo un downloader, en ese caso tendrás que descompilarlo en tiempo record antes que eliminen el stub que debería encontrarse online.